作者hooboa1122 (伯樂)
看板MIS
標題[請益] 30人公司資安/檔案外流控管
時間Wed Sep 4 11:09:45 2019
20190904原文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow
使用中華電信 300M/100M 網路
公司內部均為區域網路,無固定IP,無網域控管
單機個人使用
有一台NAS 做為內部檔案交換及建Gitlab用
我們沒有MIS
工程師們的背景也不是專業的MIS
所以老闆要求我擔任規劃PM
想求教各位前輩該怎麼做
=============================================================
老闆期待達到的功能:
1.建置資料備份
2.同仁無法上傳雲端、用line傳檔或用USB等設備,拷走公司檔案
3.預防勒索病毒
=============================================================
稍微請教過我們的工程師後,了解我們的狀況並提供做法:
一、網路環境
1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證
(若全面更新,費用約需20來萬?)
2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server
3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)
二、PC設備的端點管理
1.現有的PC、NB等,均安裝endpoint protector軟體
2.把linux改成windows系統
3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理
5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體,不會有雲端備份功能
7.禁止使用teamviewer之類軟體
三、檔案瀏覽(如何避免外流)
1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入
2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能
四、勒索病毒
1.採購comodo並設置中控密碼,員工不能任意變更
五、資料備份
1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用
2.所有人憑帳號、密碼登入
3.異地備援(是否有便宜的雲端?)
六、事後追蹤
1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤
(希望知道是哪台電腦、傳了什麼檔)
2.更換fire server?
七、資安政策
1.禁止員工私帶設備筆電
2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出)
八、未來改成VDI作業?
1.如果改成VDI作業,應該可以減少很多被另存檔案的問題
(但現有主機都是10萬多的,若改成VDI作業會否有更大的成本?)
--
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1567566587.A.727.html
1F:推 goodga: VDI不用想了 光是軟體授權就不少了 09/04 11:25
2F:→ seeya08: 你沒說最關鍵的問題,你的總預算多少 09/04 11:31
3F:推 jin1228: 應該是逐項加完就是預算,然後老闆就開始砍砍砍... 09/04 11:34
是的
4F:→ fonzae: 去參考一下forti single sign-on 09/04 11:36
5F:→ fonzae: 我相信Forti的功能是很貼近你要的 09/04 11:37
6F:→ fonzae: 資料備份來講,你丟雲端不就等同於外洩 09/04 11:38
7F:→ fonzae: 還不如在買台NAS,進行異機備份即可,只要設定排成錯開即可 09/04 11:39
8F:→ fonzae: 至於client沒有涉獵,不過這些都關係到偵測功能 09/04 11:39
感謝 我來查查Forti
9F:推 kenwufederer: 那些限制要完全做到真的只能VDI 09/04 12:21
10F:→ kenwufederer: 其他大概就硬體做法 09/04 12:22
請問硬體會建議怎麼做呢?
11F:推 sssxyz: VDI如果途徑存在 依然會外洩 比較推薦DLP或是DRM 09/04 12:29
12F:推 darktasi: 先看預算吧 09/04 12:50
13F:→ Weky: 老實說30人的公司老闆資安要求根本沒預算達成 09/04 13:03
14F:→ Weky: 花時間處理不如多花時間在主要業務上 09/04 13:04
15F:→ Weky: 然後30人的公司還要擔心有內賊 我覺得解散會快點 09/04 13:06
16F:→ Weky: 光一個怎麼防止資料被手機鏡頭截圖帶出就無解了 09/04 13:06
17F:→ Weky: 難道你要學有些公司進去先過金屬檢測門 然後禁帶手機嗎 09/04 13:07
謝謝大大的建議
我本職是行政工作
被老闆要求來做這個的
目前已比較有些頭緒
就我們的狀況
能做的先做
至少不要門戶大開
18F:→ blackhippo: 硬體喔..你去五金行花個幾十塊買支尖嘴鉗就可以達成 09/04 13:33
19F:→ blackhippo: 8成資安需求了 09/04 13:33
20F:→ slash66: 寫這麼多,有問老闆預算多少嗎?有多少錢做多少事 09/04 14:03
21F:→ slash66: 123點有錢多錢少的作法都可以達成,先問預算再來吧 09/04 14:05
目前是老闆沒概念
我上網這樣查一查
應該會報40萬的預算 (純軟體 或 軟體+硬體)
看看老闆的想法
22F:推 sssxyz: 手機拍照目前有一些solution 但也要員工願意手機裝東西 09/04 14:28
手機就沒辦法
目前不考慮處理
23F:→ konkonchou: 買個加密式的file server, 防止大量帶走檔案, 還附存 09/04 14:51
24F:→ konkonchou: 取記錄, 監視器裝好裝滿嚇阻一下 09/04 14:51
加密式的file server這有考量
25F:推 SKYXLOVE: 1. NAS 2.艾批尬 3.SOPHOS 09/04 15:42
的確有廠商建議IP Guard/CIXA + 趨勢防毒(應該也是類似sophos)
26F:→ wr: 內外網切開可以省很多錢跟很多事 看你老闆願不願意這樣幹 09/04 16:11
27F:→ wr: 監視器+內網作業+拔掉USB 只要與外界隔離就相對安全了 09/04 16:13
28F:→ wr: 這是最省錢最省事效果最好的模式(=使用者最麻煩) 09/04 16:16
29F:→ wr: 如果嫌麻煩 那就只能開始追加預算去建防護架構了 09/04 16:21
謝謝大大建議 我會弄進提案裡
30F:→ kenwufederer: 1.資料備份:只有內網的NAS且兩台以上 09/04 16:37
31F:→ kenwufederer: 2.直接透過防毒所掉URL,USB直接破壞掉 09/04 16:38
32F:→ kenwufederer: 3.預防勒索病毒:系統定期更新,勤勞備份就好 09/04 16:40
33F:→ kenwufederer: 30人的規模,買幾台NAS跟防毒就搞定了 09/04 16:40
34F:→ kenwufederer: 勒索病毒基本上最有效還是自己多備份在不同地方 09/04 16:41
35F:→ kenwufederer: 記得是不同地方,例如不同網段或設備之類的 09/04 16:41
36F:→ kenwufederer: 例如每天備份完成後,NAS 斷網,網段獨立等等 09/04 16:42
了解 也是有比較不花錢的做法
37F:→ deadwood: 記得請一個警衛每天門口貼手機跟電腦鏡頭,出去檢查有沒 09/04 17:48
38F:→ deadwood: 有撕掉過XD 09/04 17:48
39F:推 purplvampire: 推樓上 09/04 20:42
40F:推 lusaka: 30人規模 先處理防火牆跟防毒吧,用防毒管控usb甚至可以不 09/05 00:39
41F:→ lusaka: 用房,只要公布有使用了usb的電腦,然後你老闆要挺你的政 09/05 00:39
42F:→ lusaka: 策 09/05 00:39
筆記
43F:推 vjuko: NGFW 封鎖所有USB孔 一台備份sv 不過要培養能使用NGFW的人 09/05 13:49
44F:推 hsuvalen: 不請MIS就只有被廠商當羊而已 09/05 14:22
45F:→ hsuvalen: 貴司的營業額跟檔案機密性 需要這麼高?還要每年買? 09/05 15:25
46F:→ zbug: 沒人納悶 六、事後追蹤 的第2項嗎?fire server 是啥? 09/05 16:36
※ 編輯: hooboa1122 (61.230.97.203 臺灣), 09/05/2019 16:40:43
47F:→ coflame: 買comodo....光這個部分你應該後續會忙不完 09/05 21:34
48F:→ coflame: 上面HIPS, APP Control, Containment應該會加重很多 09/05 21:34
49F:→ coflame: helpdesk的人力成本, Call會接不少 09/05 21:35
50F:推 lusaka: 我建議趨勢,因此畢竟是本土公司,需求處理也會比較快處理 09/08 19:21
51F:推 esla: 某些產業跟人數多不多沒關係好嗎,為啥30人公司就不用擔心 09/09 17:16
52F:→ esla: 或認為30人公司沒預算管資安?我之前公司也是花上百在資安啊 09/09 17:16
53F:→ esla: 很多管理面的東西,讓user覺得麻煩就能達到一定效果了 09/09 17:17
54F:→ esla: 像solidwork或是proe之類的圖,你拿手機拍效果也很有限的 09/09 17:18
55F:→ esla: 認為小公司就不需要/沒能力管資安,不應該是傳統老闆的思維 09/09 17:19
56F:→ esla: 怎麼會連玩資訊的都會先入為主的認為玩不了 09/09 17:20
57F:推 esla: 不過如果貴公司真的有心碰資安,老闆要有花錢的打算 09/09 17:23
58F:→ esla: 如果想要不花錢,或是花個幾萬就搞定,那效果的確很有限 09/09 17:23
59F:→ flytw1: 破解方式 user開4g wifi分享或是4g分享器帶網路孔,上傳 09/11 08:34
60F:→ flytw1: 檔案到雲端,無敵 09/11 08:34
61F:→ Weky: 30人的公司有預算管資安不如把錢花在產品開發或行銷更有價值 09/17 10:07
62F:→ Weky: 讓user覺得麻煩的資安=有效果 代表你的內容不夠值錢而已XDD 09/17 10:09
63F:→ Weky: 拿手機拍效果有限 答案是效果拔群 拍多張點工程師要重現圖 09/17 10:09
64F:→ Weky: 沒什麼問題 東西夠有價值多花點力氣重製和拍照完全沒問題 09/17 10:10
65F:推 esla: 真厲害,連產業別都不清楚就能直接下出結論 09/21 18:48
66F:→ esla: 其它公司做什麼行為更有價值,或是內容值不值錢都能這樣判斷 09/21 18:48
67F:→ esla: 看來w大應該是待過非常多產業,甚至是大老闆囉 09/21 18:49
68F:→ esla: 有辦法在什麼資訊都沒有的情況下,果斷的判斷其它公司的決定 09/21 18:49
69F:推 a030225033: 你和老闆說先給個200萬我們再來談 你說的東西都要錢沒 10/28 00:17
70F:→ a030225033: 錢是做不到的 10/28 00:17